您的浏览器不支持JavaScript!

云服务第三方使用政策

采用基于云的服务

本政策和程序文件的目的

本政策和程序文件的目的是使弗吉尼亚联邦 (COV) 机构能够适当地采用基于云的服务,如弗吉尼亚州法典第 2. 2 -2006 条所定义,以及联邦立法、司法和独立机构,在此称为“机构”,使用 VITA 作为 IT 服务提供商。 采用云计算将包括对服务提供商的充分 IT 管理的评估以及对与联邦已有合同的云服务进行分类。

背景:

美国国家标准与技术研究院 (NIST) 对云计算的定义是:“一种通过无处不在、便捷、按需的网络访问可配置计算资源共享池(例如网络、服务器、存储、应用程序和服务)的模型,这些资源可以以最少的管理工作或服务提供商交互进行快速配置和发布。” 该联邦已采用 NIST 定义作为云计算战略方针的一部分。 根据这一采用,云服务分为三种服务模式:软件即服务 (SaaS)、平台即服务 (PaaS) 和基础设施即服务 (IaaS)。

为了将符合这些定义的服务纳入 VITA 的服务组合,我们创建了云评估服务。 此过程将评估所请求服务的能力,以符合联邦建立的运营和安全要求的方式提供 IT 服务。

范围:

本政策和程序文件适用于 VITA 提供 IT 服务的所有机构。 它涉及获取目前未包含在 VITA 提供的服务中且已获得所有 VITA 先决条件治理批准的 IT 服务的请求。

缩写:

首席信息官 首席信息官   快讯  联邦税务信息
健康保险隐私及责任法 健康保险流通与责任法案   它  信息技术
美国国家标准与技术研究院 美国国家标准与技术研究院   基础设施即服务 (IaaS) 基础设施即服务
平台即服务 (PaaS) 平台即服务   支付卡行业数据安全标准 支付卡行业数据安全标准
软件即服务 软件即服务   美国证券交易委员会  安全标准
母猪 工作说明   维他  弗吉尼亚州信息技术局

更多定义可参阅COV ITRM 词汇表

声明:

政策声明

基于云的解决方案被视为 IT 系统,并遵守与现场托管的系统和应用程序相同的内部审计和安全标准。

程序说明

代理要求:

  • 事先书面批准——行政部门机构在采购、签署或以其他方式与第三方托管(云)服务签订合同之前,必须通过 VITA 企业云监督服务获得书面批准。
  • VITA 预授权 -必须在 VITA 企业云托管表中识别供应商和所请求的服务,以确保基于云的服务、物理或虚拟应用程序、基础设施网络、系统组件和任何数据中心设施的获取都已获得 VITA 的预授权。
  • C大声计算服务-每项使用 VITA 尚未提供的 IT 服务的请求都将接受评估,以确保其符合联邦要求、所请求服务的充分运行以及适当的云服务采购条款和条件。
  • 监督和管理机构——所有第三方托管(云计算)服务的使用都必须有一个监督和管理机构。 该管理机构将证明在批准使用外部云计算服务之前已充分解决了安全、隐私和其他 IT 管理要求。
  • 批准期限 -除非另有规定,所有第三方托管(云计算)请求有效期为一年。
  • 企业云监督服务 已通过 VITA 先前的例外流程批准的第三方云服务请求,在批准的例外请求到期后,应接受企业云监督服务,除非 VITA 另有规定。
  • 政策和程序定期审查——该政策和程序文件将每年审查一次,或在出现任何之前未考虑过的重大问题后进行审查。

供应商要求:

供应商至少每年接受一次定期风险评估,并且在出现任何重大问题后立即接受风险评估。

  • 安全合规性——供应商必须遵守ITRM 政策、标准和指南中概述的所有适用的 VITA 政策和标准,包括适当的州和联邦法规、政策、标准和指南(例如 SEC 501 、SEC 525 、IRS 出版物1075 、NIST 风险管理框架等)以保护联邦信息和数据。 供应商应完全遵守与数据安全等级相符的所有指定的安全标准。 供应商的评估回复应详细说明是否遵守相关或强制性的第三方标准,例如《健康保险流通与责任法案》(HIPAA)、联邦税务信息(FTI)和支付卡行业数据安全标准(PCI DSS)。 这包括确保所有信息系统组件和服务仍留在美国大陆。 这是为了确保所有受影响的业务关系能够有效地进行治理、风险管理、保证以及法律、法定和监管合规义务。
  • 审计要求 -供应商应提供最近完成的审计,最好是服务组织控制类型2 (SOC2)。 该机构或第三方审计组织负责在90天内进行安全审计,以确定所提供的审计与托管环境信息安全标准(SEC525) 之间的控制差距。 如果没有提供审计,则必须利用 SEC525 执行完整的安全控制审计。 否则,可能会导致按照合同条款和条件采取补救措施。 供应商有义务通过合同约定的程序立即通知机构和 VITA 任何安全漏洞。 供应商必须禁止未经授权的访问、使用或更改存储的数据。 合同条款中必须概述该方法和程序。
  • 退款模型-供应商的服务退款模型必须清晰记录。 这确保了解与服务相关的所有适用费用和费用结构。
  • 数据控制——供应商应始终保持对数据的控制,并且在发生强制违约的情况下,必须按照工作说明书 (SOW) 中规定的约定格式和时间范围向承包机构提供其数据。 供应商必须提供并维护为信息交换和使用而定义的非专有互操作性和可移植性标准。 此要求旨在支持可互操作的组件并促进应用程序向云供应商迁移和/或从云供应商迁移。

收购:

该政策要求 VITA 供应链管理参与行政机构任何基于云的服务采购。

  • 合同语言批准——所有合同语言必须经过 VITA 供应链管理的批准。
  • 合规性——任何云计算服务合同都必须包含声明供应商将遵守所有联邦法律、安全要求以及任何适用的联邦或行业标准和法规的条款。 合同载体中必须包含适当的语言,定义云服务提供商的责任以及联邦维护所有适用标准和法规的责任。
  • 条款和条件——VITA 供应链管理具有供机构在采购文件(招标和合同)中使用的云服务条款和条件。
  • 服务条款协议——服务条款协议被视为合同语言,因此任何服务条款协议都必须在签署之前得到 VITA 供应链管理部门的批准。 单击“确定”等数字签名被视为签署合同,并且不得在合同审查之前发生。

连续性规划

  • 退出策略——机构必须为每个利用非现场供应商的应用程序确定明确的退出计划。 任何签订基于云的服务的行政部门机构都必须与 VITA 合作并协调,以确保为每个正在使用的应用程序或服务记录退出策略。 第一个退出计划(必需)必须针对特定应用程序和供应商,并在发生灾难性故障时调用,例如(但不限于):
    • 重大安全漏洞
    • 供应商破产
    • 未遵守适用法律法规
  • 额外的退出标准- 第二个退出计划可能是一个单一的通用计划,用于任何未能充分执行并可能提前终止合同的应用程序或服务。 同样,所有退出计划都必须表明,机构、其用户、联邦公民或合作伙伴上传到云服务的数据必须属于承包机构的财产,未经明确书面许可不得使用。 它还应表明,根据机构的书面要求,供应商应销毁此类机密信息,并向披露机构提供此类销毁的书面证明,并停止进一步使用授权用户的机密信息,无论是有形的还是无形的形式。

相关政策/程序:

托管环境信息安全标准(SEC525) 所述,必须对用于电子传输或存储联邦和/或公民数据的外部提供的服务/系统和保障措施进行风险评估,并且必须在所有相关州/国家系统中保持安全性和互操作性。

权威参考:

弗吉尼亚州法典§2- 2 .2009 规定“首席信息官应指导制定评估安全风险、确定适当的安全措施以及对政府电子信息进行安全审计的政策、程序和标准”。

其他参考:

IT 信息安全标准(SEC 501 )、托管环境信息安全标准(SEC 525 )、 IRS 出版物1075NIST 风险管理框架。

政策例外请求:

该政策和程序文件要求 VITA、机构和供应商共同报告和评估新出现的风险和问题。 如果机构负责人确定遵守此政策会对机构的业务流程产生不利影响,则机构负责人可以向 VITA 提交例外申请,要求对该政策或标准进行例外处理。 政策和例外请求表位于 ITRM 政策、标准和指南网页上: ITRM 政策、标准和指南